Son günlerde devlet kurumları ve özel sektör, Microsoft'un yaygın belge paylaşım uygulaması SharePoint'te keşfedilen kritik bir zafiyetin küresel çapta hedef alınmasıyla sarsıldı. Bu keşfin ardından yaşanan olayların ve saldırıların boyutunun artmasıyla takip etmek güçleşti.
Bu haberde, güvenlik uzmanlarının 'ToolShell' olarak adlandırdığı bu zafiyet ve devam eden sömürüsüyle ilgili merak edilen soruları yanıtlayacağız.
Şu ana kadar neler biliniyor?
Soru: SharePoint Nedir?
Cevap: SharePoint, şirketlerin dahili belgeleri depolamak, yönetmek, paylaşmak ve üzerinde işbirliği yapmak için kullandığı bir sunucu yazılımıdır. Genellikle bir kurumun iç ağından erişilir. Microsoft tarafından 2001 yılından bu yana sunulmaktadır. 2020'de yapılan bir açıklamaya göre SharePoint'in 200 milyon kullanıcısı bulunuyordu. Geçen yıla kadar ise yaklaşık 400.000'den fazla kurumsal müşteri, Fortune 500 şirketlerinin yaklaşık yüzde 80'i dahil olmak üzere bu yazılımı kullanıyordu.
Soru: Peki, zafiyet nedir?
Cevap: Resmi olarak CVE-2025-53770 olarak izlenen bu zafiyet, SharePoint sunucularında kimlik doğrulaması gerektirmeyen uzaktan kod çalıştırmaya olanak tanıyor. Sömürülme kolaylığı, neden olduğu hasar ve mevcut saldırılardaki hedeflemesi nedeniyle 10 üzerinden 9.8 gibi yüksek bir ciddiyet derecesiyle derecelendirildi.
Bu zafiyet, herhangi bir sisteme giriş yetkisi olmayan saldırganların uzaktan kötü amaçlı kod çalıştırmasına imkan veriyor. Zafiyet ilk olarak bir güvenlik firması tarafından fark edildi. Bu firma, zafiyetin bir gün öncesinden başlayan iki dalgada aktif olarak sömürüldüğünü ve dünya genelinde 'düzinelerce sistemi' ele geçirdiğini bildirdi. Çarşamba günü ise etkilenen sistem sayısının 400'e ulaştığı tahmin ediliyordu. Hatta önemli bir kurumun ağının da bu saldırıların kurbanı olduğu bildirildi.
Microsoft, aktif sömürünün en geç 7 Temmuz'da başladığına dair kanıtlar bulduğunu açıkladı. Bu da Microsoft ve güvenlik uzmanlarının tehditten haberdar olmadan önce bir 'sıfır gün' (zero-day) olarak kullanıldığı anlamına geliyor. Zafiyet yalnızca kurumların kendi içlerinde barındırdığı SharePoint sistemlerini etkiliyor. Microsoft'un bulut tabanlı SharePoint hizmetini kullananlar için herhangi bir tehdit bulunmuyor.
Soru: Zafiyeti kimler sömürüyor?
Cevap: Microsoft, aktif sömürünün üç farklı grupla gözlemlendiğini ve bu grupların tamamının Çin hükümetiyle bağlantılı olduğunu belirtti. Gruplardan ikisi daha önce de Microsoft tarafından biliniyordu. Bu gruplardan biri, fikri mülkiyet çalmaya yönelik casusluk saldırıları gerçekleştiriyor. Diğeri ise daha geleneksel casusluk faaliyetleri yürütüyor.
Üçüncü grup ise daha önce takip edilmeyen ve 'Storm-2603' olarak adlandırılan bir grup. Microsoft, bu grup hakkında geçmişte fidye yazılımı saldırılarıyla ilişkilendirilmiş olmaları dışında çok az bilgiye sahip olduğunu söyledi. Şu ana kadar, başka grupların da bu zafiyeti sömürme olasılığı dışlanmış değil.
Soru: Zafiyet neden 'ToolShell' olarak adlandırılıyor?
Cevap: ToolShell adı, Mayıs ayında Berlin'de düzenlenen bir siber güvenlik yarışmasında gösterilen ve SharePoint sunucularında kimlik doğrulaması gerektirmeden kod çalıştırmayı başaran bir saldırı zincirinde kullanılan bir dizi zafiyete verildi. Bu isim, araştırmacının SharePoint kullanıcı arayüzünde kenar çubuğu görünümünü oluşturmak için kullanılan bir bileşen olan ToolPane.aspx'i sömürmesi nedeniyle verildi.
Araştırmacının saldırısı, kimlik doğrulama atlatma (authentication bypass) yoluyla güvensiz bir serileştirme (serialization) işlemini manipüle etmeyi mümkün kıldı. Serileştirme, veri yapılarını ve nesne durumlarını depolanabilen veya iletilebilen biçimlere dönüştürme işlemidir. Serileştirme kaldırma (deserialization) ise tam tersi işlemdir.
Microsoft, bu zafiyetleri iki hafta önce aylık güncellemelerinin bir parçası olarak yamalamıştı. Ancak dünya öğrenince anlaşıldı ki bu yamalar eksikti ve bu durum dünya genelindeki kuruluşları yeni saldırılara karşı savunmasız bıraktı.
Soru: Saldırganlar bu yeni ToolShell sömürüleriyle ne tür zararlı faaliyetlerde bulunuyor?
Cevap: Çeşitli teknik analizlere göre, saldırganlar ilk olarak savunmasız sistemlere bir web shell tabanlı arka kapı (backdoor) bulaştırıyor. Bu sayede SharePoint Sunucusu'nun en hassas bölümlerine erişim sağlıyorlar. Ardından, saldırganların çok faktörlü kimlik doğrulama (MFA) ve tek oturum açma (SSO) ile korunan sistemlerde bile yönetici ayrıcalıkları elde etmesini sağlayan jetonları ve diğer kimlik bilgilerini çıkarıyorlar. İçeri girdikten sonra saldırganlar, hassas verileri dışarı sızdırıyor ve gelecekteki kullanımlar için kalıcı erişim sağlayan ek arka kapılar konuşlandırıyorlar.
Daha teknik detaylar isteyenler için, saldırının başlangıç aşaması, saldırganların gönderdiği POST Web istekleriyle ToolPane uç noktasına yönlendiriliyor.
Microsoft bu isteklerin, spinstall0.aspx veya alternatif olarak spinstall.aspx, spinstall1.aspx gibi kötü amaçlı bir betik yüklediğini belirtti. Bu betik, bir SharePoint sunucusunun şifrelenmiş MachineKey yapılandırmasını almak ve şifresi çözülmüş sonuçları bir GET isteğiyle saldırgana döndürmek için komutlar içeriyor.
Soru: Kendi SharePoint sunucumu yönetiyorum. Ne yapmalıyım?
Cevap: Kısacası, diğer tüm işlerinizi bırakın ve sisteminizi dikkatlice incelemek için zaman ayırın. İlk bakmanız gereken şey, Microsoft'un yayınladığı acil durum yamalarını alıp almadığıdır. Eğer henüz yapılmadıysa, yamayı derhal yükleyin.
Zafiyeti yamalamak sadece ilk adımdır, çünkü zafiyet aracılığıyla enfekte olan sistemler genellikle çok az belirti gösterir veya hiç göstermez. Bir sonraki adım, sistem olay günlüklerini (event logs) inceleyerek olası saldırı göstergelerini (indicators of compromise) aramaktır. Bu göstergeler, Microsoft ve diğer güvenlik firmalarının yayınladığı birçok raporda bulunabilir.
